当前位置: 王朝网络 >> system >> Win32.Troj.AgentT.ge.23559

Win32.Troj.AgentT.ge.23559

王朝system·作者佚名 2008-08-14

窄屏简体版字體: 小|中|大|超大

病毒名称(中文):

灰鸽子变种333312

病毒别名:

威胁级别:

★★☆☆☆

病毒类型:

木马程序

病毒长度:

29818

影响系统:

Win9xWinMeWinNTWin2000WinXPWin2003

病毒行为:

这是一个木马程序，复制自身到系统目录的多个文件夹，在各个磁盘分区根目录创建Autorun.inf

和病毒文件，通过U盘传播，并添加到启动项，同时修改注册表映像劫持大多数安全软件，破坏安全模式。在

病毒程序运行时会关闭大多数安全相关的软件，从网络下载其他的病毒木马。

1.复制文件：

%sys32dir%\verclsids.exe

%ProgramFiles%\meex.exe

%ProgramFiles%\CommonFiles\MicrosoftShared\fjmnjay.inf

%ProgramFiles%\CommonFiles\MicrosoftShared\yedeayu.exe

%ProgramFiles%\CommonFiles\System\ewwwoxi.exe

%ProgramFiles%\CommonFiles\System\fjmnjay.inf

另外，还在每个磁盘分区根目录下面创建以下两个文件：

Autorun.inf

mcqdvnc.exe

其中Autorun.inf文件的内容指向mcqdvnc.exe，双击打开磁盘分区则会执行mcqdvnc.exe。

2.添加到到注册表：

添加到系统启动项，随系统启动：

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

fjmnjay"%ProgramFiles%\CommonFiles\System\ewwwoxi.exe"

mcqdvn"%ProgramFiles%\CommonFiles\MicrosoftShared\yedeayu.exe"

添加以下键值，破坏文件夹选项，隐藏自身：

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]

ShowSuperHiddendword:00000000

添加以下键值，对大多数安全软件进行映像劫持：

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\ImageFileExecutionOptions\AgentSvr.exe]

Debugger"C:\ProgramFiles\CommonFiles\MicrosoftShared\yedeayu.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\ImageFileExecutionOptions\AppSvc32.exe]

Debugger"C:\ProgramFiles\CommonFiles\MicrosoftShared\yedeayu.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\ImageFileExecutionOptions\autoruns.exe]

Debugger"C:\ProgramFiles\CommonFiles\MicrosoftShared\yedeayu.exe"

……

还有大量的其他安全软件的映像劫持。

删除以下键值，是系统无法进入安全模式：

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}]

3.破坏方式

木马通过影响劫持使安全软件失效、破坏文件夹选项、破坏安全模式来达到保护自身的目的，并且从网络下载其他木马病毒，对系统

造成严重破坏，另外木马随系统启动后，会启动IExplorer.exe进程并注入其中。其破坏方式类似于AV终结者。

4.相关网址：

http://www.w****b.com/TD***1.exe

http://www.w****b.com/R****o*n.txt

可能会从上面的网址读取信息并下载其他木马或者病毒。

点击展开全文

上一篇：Win32.Binder.chBind.a.476544

下一篇：Win32.Adware.Agent.nk

免责声明：本文为网络用户发布，其观点仅代表作者个人观点，与本站无关，本站仅提供信息存储服务。文中陈述内容未经本站证实，其真实性、完整性、及时性本站不作任何保证或承诺，请读者仅作参考，并请自行核实相关内容。

没有找到您想要的？点此查看更多相关文章
相关文章▶

2023年上半年GDP全球前十五强
百态 2023-10-24

美众议院议长启动对拜登的弹劾调查
百态 2023-09-13

上海、济南、武汉等多地出现不明坠落物
探索 2023-09-06

印度或要将国名改为“巴拉特”
百态 2023-09-06

男子为女友送行，买票不登机被捕
百态 2023-08-20

手机地震预警功能怎么开？
干货 2023-08-06

女子4年卖2套房花700多万做美容：不但没变美脸，面部还出现变形
百态 2023-08-04

住户一楼被水淹还冲来8头猪
百态 2023-07-31

女子体内爬出大量瓜子状活虫
百态 2023-07-25

地球连续35年收到神秘规律性信号，网友：不要回答！
探索 2023-07-21

全球镓价格本周大涨27%
探索 2023-07-09

钱都流向了那些不缺钱的人，苦都留给了能吃苦的人
探索 2023-07-02

倩女手游刀客魅者强控制（强混乱强眩晕强睡眠）和对应控制抗性的关系
百态 2020-08-20

美国5月9日最新疫情：美国确诊人数突破131万
百态 2020-05-09

荷兰政府宣布将集体辞职
干货 2020-04-30

倩女幽魂手游师徒任务情义春秋猜成语答案逍遥观：鹏程万里
干货 2019-11-12

倩女幽魂手游师徒任务情义春秋猜成语答案神机营：射石饮羽
干货 2019-11-12

倩女幽魂手游师徒任务情义春秋猜成语答案昆仑山：拔刀相助
干货 2019-11-12

倩女幽魂手游师徒任务情义春秋猜成语答案天工阁：鬼斧神工
干货 2019-11-12

倩女幽魂手游师徒任务情义春秋猜成语答案丝路古道：单枪匹马
干货 2019-11-12

倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野：与虎谋皮
干货 2019-11-12

倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野：李代桃僵
干货 2019-11-12

倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野：指鹿为马
干货 2019-11-12

倩女幽魂手游师徒任务情义春秋猜成语答案金陵：小鸟依人
干货 2019-11-12

倩女幽魂手游师徒任务情义春秋猜成语答案金陵：千金买邻
干货 2019-11-12